返回
基于Honeypot技术的入侵检测系统设计与实现.pdf

基于Honeypot技术的入侵检测系统设计与实现.pdf

ID:52932994

大小:917.37 KB

页数:4页

时间:2020-04-02

基于Honeypot技术的入侵检测系统设计与实现.pdf_第1页
基于Honeypot技术的入侵检测系统设计与实现.pdf_第2页
基于Honeypot技术的入侵检测系统设计与实现.pdf_第3页
基于Honeypot技术的入侵检测系统设计与实现.pdf_第4页
资源描述:

《基于Honeypot技术的入侵检测系统设计与实现.pdf》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第23卷第2期四川文理学院学报2013年3月Vol.23No.2SichuanUniversityofArtsandScienceJournalMar.2012*基于Honeypot技术的入侵检测系统设计与实现刘焕(太原大学外语师范学院,山西太原030012)摘要:为应对当今网络攻击的多样化趋势,可利用欺骗入侵者以达到采集黑客攻击方法和保护真实主机目标的诱骗技术———蜜罐技术进行防卫.结合开放原始码软件建立一套分布式预警系统,大范围收集网络攻击趋势及警告信息通知,通过汇总的信息让安全人员提前收到警告通知,并了解网络攻击的行为与意图,以确定应变措施,确保网络安全.结合入侵检测

2、及蜜罐工具,增加不同攻击的记录、分析能力.关键词:蜜罐;入侵检测系统;恶意程序中图分类号:TP31文献标志码:A文章编号:1674-5248(2013)02-0072-04进行信息汇总分析,让信息安全人员根据所分析0引言的结果,观察遭受攻击的计算机及服务,以便推论黑客利用恶意程序、系统漏洞和程序弱点等其攻击模式与意图,及潜在风险与未来趋势,以确[2]未达到影响网络安全的目的.传统防御网络攻击定应变措施、确保网络安全.行为是以防火墙搭配入侵检测系统,但目前拥有1相关研究杀毒软件并使用传统防火墙搭配入侵检测的系统,已无法有效遏止网络攻击的威胁.如果能在计本研究着重在网络攻击行为

3、的记录与分析,算机遭受攻击的第一时间,立即记录攻击事件的根据研究所需的相关名词进行文献探讨,并对本来源、手法,对其进行分析比对与推论后续可能的研究所使用的工具进行简介.攻击,并提供给信息安全人员相关警告和信息,就1.1入侵检测系统[1]可有效减缓并降低信息安全风险.入侵检测系统(IDS)是一种对网络传输进行蜜罐所收集到的信息能针对特定流量工作,即时监视,在发现可疑传输时发出警报或者采取提供其它工具所没有的独特信息,因此得到的信主动反应措施的网络安全设备.它与其他网络安息价值也较高,如果是搭配入侵检测系统,可减少全设备的不同之处在于,IDS是一种积极主动的主动错误信息和被动错

4、误信息等问题.但是一般安全防护技术.根据其应用环境的不同,入侵检测开放原始码蜜罐使得使用者不易进行广泛设置,系统可以归类为两种类型:主机型(HostBased)[3]也导致收集的信息有区域限制而不够全面.对此,与网络型(NetworkBased)的入侵检测系统.本研究构建结合入侵检测和蜜罐的分布式预警系主机型入侵检测系统主要以计算机系统主机统,并开发友好的使用者接口,通过分散在各网络的核心(Audit)信息或网络活动为基础(如文档、中的客户端,收集大范围的攻击信息及恶意程序程序、日志文件等)作持续的监测,如果有不正常*收稿日期:2012-10-20基金项目:山西省教育科学十

5、二五规划项目“职业院校计算机教学的创新研究”(GH-11170)作者简介:刘焕(1981—),男,山西太原人.助教,主要从事计算机应用研究.72刘焕:基于Honeypot技术的入侵检测系统设计与实现2013年第2期的情形发生,系统就会发出被入侵的警告信息,例2系统设计如未授权的登录、非法程序的存取、异常的系统呼叫等可疑纪录.缺点是信息量通常非常庞大,且其本研究以收集大范围网络攻击信息及警告信所纪录的信息如果被窜改或者是删除时,则对入息发报为目的,构建一个可快速安装的分布式预侵行为无从查起.警系统,以减少信息安全人员分布式系统构建和网络型入侵检测系统则是直接选取网络上传大范围

6、信息收集的负担.研究实际结合入侵检测送的封包为根据,监测封包的档头以及内容部分,与蜜罐工具,汇总不同格式信息,对大范围网络攻以此判断网络主机是否遭受攻击或入侵.缺点是击和警告信息进行集中分析和发报,再利用网页其所消耗的系统资源往往与网络封包的流量成正接口显示经分析后的汇总信息,让管理者能迅速比,如果网络流量过大将会造成入侵检测系统来对攻击事件做出因应行动.[4]不及处理,导致入侵检测正确率的降低.2.1系统架构1.2蜜罐技术分布式预警系统是由客户端(Client)与服务美国L.Spizner是一个著名的蜜罐技术专家,器端(Server)两大部分所组成的,系统架构如图他曾对蜜

7、罐做了这样的一个定义:蜜罐是一种资二所示.客户端将遭受攻击的信息与捕获的恶意源,它的价值是被攻击或攻陷.这就意味着蜜罐是程序回传给服务器端,由服务器端进行攻击记录用来被探测、被攻击甚至最后被攻陷的,蜜罐不会与分析、入侵通报,再以网页的方式呈现汇总后的修补任何东西,这样就为使用者提供了额外的、有信息,利用服务器端和多个客户端的间的连结,达价值的信息.蜜罐不会直接提高计算机网络安全,到分散信息集中管控的效果,构建起一个完整的但是它却是其他安全策略所不可替代的一种主动预警网络.以下将对这些组件作比较深入介绍.防御技术.具

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。